ソニーは2011年5月1日、ゲーム機向けオンラインサービスと映画・音楽配信サービスのユーザー情報に対する不正アクセス事件についての記者会見を東京・品川の本社で実施した。会見には、同社の代表執行役 副社長 コンスーマープロダクツ&サービスグループ プレジデントの平井一夫氏が出席。情報流出が、既知の脆弱性を利用した攻撃によるものだと明らかにした。漏洩した個人情報の件数は最大で約7700万。既に米連邦捜査局(FBI)に捜査を依頼しているという。

 会見では冒頭、平井一夫副社長が「ユーザーの個人情報漏洩の可能性についてユーザーの皆さんに多大な不安とご迷惑をおかけしていることを深くお詫び申し上げます」と謝罪した。続いて、不正アクセスの事実関係と対応の経緯について説明した。

 それによると、同社がゲーム機向けオンラインサービス「PlayStation Network(PSN;プレイステーション・ネットワーク)」と、映画・音楽配信サービス「Qriocity(キュリオシティ)」のサーバーに異常な動きを確認したのは4月19日(米国時間、以下同様)。このサーバーは米国サンディエゴにあるデータセンターにあり、Sony Network Entertainment International(SNEI)が管理している。社内調査の結果、4月17日から19日にかけて不正アクセスがあったことが、4月20日に判明した。同社はこの時点で、PlayStation NetworkとQriocityのサービスを停止した。

 その後、複数のセキュリティ専門会社に依頼して、実態の把握に着手。その結果、「故意の不正侵入によりお客さまのセキュリティを脅かす可能性のあるサーバーテロ行為が行われ、その結果、お客さまの個人情報漏洩の可能性を確認した」(平井副社長)。同社は4月26日に、不正アクセスについて、サービスの登録ユーザーに向けてメールで告知するとともに、Webサイトで公表した。

 漏洩したと見られる情報は、「氏名」「国と住所」「メールアドレス」「生年月日」「性別」「PlayStation NetworkとQriocityのオンラインIDとログインパスワード」。また、証拠はないが漏洩した可能性のある個人情報として、「過去の買物履歴や請求先住所等を含むプロフィールデータ」「PlayStation NetworkとQriocityのログインパスワード照合時の質問」「セキュリティコードを除くクレジットカード番号とクレジットカードの有効期限」を挙げている。サーバー上に保存していたクレジットカード情報は約1000万件で、暗号化していた。

 不正アクセスはインターネット経由で実施したもので、同社によると、図2のような手口だという。システムへの侵入は、(1)アプリケーションサーバーの脆弱性を突いて、不正にツールを導入して外部からの侵入経路を確立、(2)データベースへの攻撃によりアクセス権限を入手、(3)データベースに不正アクセスしてデータを入手、という3段階の手順による。アプリケーションサーバーの脆弱性は既知のもので、「SNEIのマネジメントがそれを認識していなかった」(業務執行役員 シニア・バイス・プレジデント チーフ・インフォメーション・オフィサー ビジネス・トランスフォーメーション/ISセンター長の長谷島眞時氏)。

 今回の不正アクセスを受けて同社は、「システムをよりセキュリティレベルの高いデータセンターへ計画を前倒しして移管」「データ保護と暗号化のレベル強化」「新たなファイアウオールの増設」といったシステム面の対策を実施。さらに、「SNEIにチーフ・インフォメーション・セキュリティ・オフィサー職を新設」「PS3のシステムソフトウエアをバージョンアップして、全ユーザーに対してパスワードの変更を実施」といった対応を進めるという。

 また、ユーザーに対して、「特定のコンテンツの無料ダウンロード」「30日間500円からの定額制サービス『PlayStation Plus』の30日間無料提供」「音楽配信サービスの「Music Unlimited powered by Qriocity」の会員向けの30日間無料提供」の3種類の補填を実施する。これら以外のサービスも順次追加する。

 サービスの再開スケジュールについても言及した、今後はまず、「プレイステーション 3」「プレイステーション・ポータブル」でのオンライン対戦やネットワーク認証が必要なタイトルのプレー、映像配信サービスによるレンタル映像コンテンツの再生、チャット機能などのサービスを1週間以内をめどに地域ごとに順次再開。さらに、5月末までにサービスの全面再開を目指す。